KienhuisHoving-Academy KienhuisHoving-Academy
Website
KienhuisHoving-Academy

Meer duidelijkheid over privacyboetes Autoriteit Persoonsgegevens

Vorige week publiceerde de Autoriteit Persoonsgegevens (hierna: ‘AP’) aangepaste boetebeleidsregels. De eerdere boetebeleidsregels zagen nog op oude privacywetgeving en behoeften aanpassing aan de Algemene verordening gegevensbescherming, die sinds 25 mei 2018 van toepassing is. Deze aanpassing biedt duidelijkheid over de manier waarop de AP met haar boetebevoegdheid omgaat. Een welkome verduidelijking, te meer gelet op de potentieel enorme boetes waarvoor de AVG de deur heeft geopend.

De boetebeleidsregels zien niet alleen op boetes bij overtredingen van de AVG en de Uitvoeringswet AVG, maar ook op overtredingen van de Wet politiegegevens, de Wet justitiële en strafvorderlijke gegevens en bepaalde overtredingen van de Telecommunicatiewet, de eIDAS-verordening en de Algemene wet bestuursrecht.

Richtsnoeren voor boetes

Al eerder publiceerden de Europese privacytoezichthouders richtsnoeren voor de toepassing en vaststelling van administratieve geldboetes. Nu daarin geen gezamenlijke uitgangspunten voor de berekening van die boetes waren opgenomen, heeft de AP daarvoor eigen beleid vastgesteld. De beleidsregels worden door de AP gehanteerd totdat er van hogerhand (vanuit ‘Europa’) richtsnoeren zijn voor de berekening van de boetebedragen.

Boetebandbreedte

De AP heeft de overtredingen van de AVG en andere voornoemde boetes ingedeeld in verschillende boetecategorieën. Voor elke boetecategorie is een ‘boetebandbreedte’ vastgesteld, waarbinnen steeds een basisboete is vastgelegd. De AP bepaalt de hoogte van de boete door het basisbedrag naar boven of naar beneden bij te stellen, afhankelijk van verschillende in de wet genoemde factoren. Denk daarbij aan de aard, ernst en duur van de inbreuk op een wettelijke bepaling, de opzettelijkheid of nalatigheid, het aantal betrokkenen, de omvang van de schade en bijvoorbeeld eerdere relevante inbreuken.

Mocht de AP binnen de toepasselijke boetebandbreedte in een concreet geval geen passende bestraffing op kunnen leggen, dan mag zij bij het bepalen van de boete de aangrenzende bandbreedtes toepassen. Als een verwerkersovereenkomst bijvoorbeeld niet aan de AVG voldoet, geldt in beginsel een boetebandbreedte van €120.000,- tot €500.000,-. Vindt de AP dat daarbinnen geen passende boete wordt opgelegd, dan kan zij ervoor kiezen om bijvoorbeeld de aangrenzende hogere boetecategorie toe te passen – van €300.000,- tot €750.000,-. Indien ook de aangrenzende bandbreedtes geen passende bestraffing bieden, kan de AP daarbuiten treden. In het uiterste geval kan zij aanhaken bij de maxima uit de AVG (afhankelijk van de overtreding, tot €20.000.000,- of 4% van de jaaromzet van de overtreder).

Bij het vaststellen van de boete kan de AP ook rekening houden met de financiële omstandigheden waarin de overtreder verkeert. Van deze mogelijkheid kan de AP bijvoorbeeld gebruik maken indien de overtreder een erg kleine onderneming is, die onevenredig gestraft zou worden door toepassing van een bepaalde boetebandbreedte.

Conclusie

Het gaat te ver om in het kader van deze blog in te gaan op de bedragen die gekoppeld zijn aan alle mogelijke of veelvoorkomende overtredingen. Opvallend is (onder meer) dat de uitgangsbedragen voor de boetes significant lager zijn dan de maxima uit de AVG. Nu de AP de mogelijkheid heeft om van de bandbreedtes af te wijken in specifieke gevallen, bieden de boetebeleidsregels geen absolute zekerheid over de hoogte van eventuele boetes. De nieuwe boetebeleidsregels zijn daarmee een welkome verduidelijking, maar zeker geen toezegging.

Bent u benieuwd naar de specifieke risico’s van non-compliance? Neem dan contact op met de advocaten met het specialisme  IE, ICT & Privacy van KienhuisHoving.